Charla de Seguridad de la InformaciónCharla de Seguridad de la Información

Proporcionar los conocimientos necesarios

para el manejo seguro de los Activos de

Información de la Corporación y los

servicios que presta la Gerencia de

Seguridad AIT, que les permitan a los

participantes, resguardar la

Confidencialidad e Integridad de los

mismos.

Objetivo

Conceptos Básicos de Seguridad de InformaciónConceptos Básicos de Seguridad de Información

Políticas de Seguridad de Información

CO

NF

IDE

NC

IAL

IDA

D

INT

EG

RID

AD

DIS

PO

NIB

ILID

AD

Conciencia en Seguridad de Información

Principios de Seguridad de InformaciónPrincipios de Seguridad de Información

Principios de Seguridad de InformaciónPrincipios de Seguridad de Información

Confidencialidad

La información solo debe ser accedida por el personal

autorizado

Integridad

Garantiza la calidad de los datos para que no puedan ser

alterados

Disponibilidad

La información debe encontrarse a disposición de quienes

deben acceder a ella, ya sean personas, procesos o

aplicaciones.

Principios de Seguridad de InformaciónPrincipios de Seguridad de Información

Riesgo

Es un conjunto de circunstancias que representan una

posibilidad de pérdida

Amenaza

Es la probabilidad de ocurrencia de un fenómeno

potencialmente nocivo, dentro de un período específico de

tiempo y en un área dada

Vulnerabilidad

Nivel de exposición que permite la ocurrencia de la amenaza

AmenazasAmenazas

Naturales(TERREMOTOS, HURACANES, TORMENTAS ELECTRICAS)

Siniestros(INCENDIOS, APAGONES, iNUNDACIONES)

Intrusos(HACKER, CRACKERS, SCRIPT BOY)

Malware(VIRUS, SPYWARE, KEYLOGGER)

Usuarios(IMPRUDENCIA, CURIOSIDAD, INSATISFACCIÓN, DESCONOCIMIENTO)

“Ingeniería Social”(CADENAS, CORREO SPAM, MENSAJERIA

INSTANTANEA, PHISHING)

Conflictos(GUERRAS, SABOTAJE, PROTESTAS, TERRORISMO)

CONCIENCIA EN SEGURIDAD

INTERNET SIN CONTROL

CONTRASEÑASINSEGURAS

CONTROLES INSUFICIENTES

AUSENCIA DE PLANES DE

CONTINGENCIA

PLATAFORMA TECNOLÓGICA

Repositorio

VulnerabilidadesVulnerabilidades

Intercepción o Interrupción

Violación de Contraseña

Accesos no Autorizados

Infecciónes por Virus

Mal uso de Hardware y Software

“Ingeniería Social”

Falsificación de Información

Repudio(HACER ALGO Y LUEGO NEGARLO)

RiesgosRiesgos

CRACKERS

ESPIONAJE

ATAQUESVIRUS, CÓDIGOS MALICIOSOS

PLATAFORMA TECNOLÓGICA

Repositorio

Mecanismos de ProtecciónMecanismos de Protección

FRAUDES INFORMÁTICOS

ROBO DE INFORMACIÓN

Estudios de CasosEstudios de Casos

Chamo hacker hizo de las suyas en portales gubernamentales venezolanosChamo hacker hizo de las suyas en portales gubernamentales venezolanos

PÁGINA WEB DE M.E. ES ATACADA POR HACKER (El universal) PÁGINA WEB DE M.E. ES ATACADA POR HACKER (El universal)

Un hacker venezolano es arrestado en Miami (Rafael Núñez) Un hacker venezolano es arrestado en Miami (Rafael Núñez)

¿Que hackeó?Consecuencias a la empresaRecomendaciones a PDVSA

¿Que hackeó?Consecuencias a la empresaRecomendaciones a PDVSA

Confidencialidad

Integridad

Disponibilidad

ACTIVO DE INFORMACIÓN

WebWeb CacheCacheMonitor de Monitor de SeguridadSeguridadFirewallFirewall

HoneyPotsHoneyPots ConcentradoConcentrador VPNr VPN

IDSIDS Manejador de Manejador de IdentidadesIdentidades

IPSIPSProxyProxy

Nivel 1Nivel 1

Mecanismos de CifradoMecanismos de Cifrado

Nivel 2Nivel 2

Políticas de Seguridad de Información

Estrategias y puesta en marcha de las Mejores PrácticasEstrategias y puesta en marcha de las Mejores Prácticas

Nivel 3Nivel 3

Niveles de SeguridadNiveles de Seguridad

Normativa Interna sobre Seguridad de InformaciónNormativa Interna sobre Seguridad de Información

Políticas y NormasPolíticas y Normas

PSIPSIPOLÍTICAS DE SEGURIDAD DE INFORMACIÓNPOLÍTICAS DE SEGURIDAD DE INFORMACIÓN

Las Políticas de Seguridad son esencialmente orientaciones e instrucciones que indican cómo

manejar los asuntos de Seguridad y forman la base de un plan maestro para la implantación

efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de

datos, planes de contingencia y detección de intrusos.

PSIPSIPOLÍTICAS DE SEGURIDAD DE INFORMACIÓNPOLÍTICAS DE SEGURIDAD DE INFORMACIÓN

Las Políticas de Seguridad son esencialmente orientaciones e instrucciones que indican cómo

manejar los asuntos de Seguridad y forman la base de un plan maestro para la implantación

efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de

datos, planes de contingencia y detección de intrusos.

PAIPAIPROTECCION DE ACTIVOS DE INFORMACIONPROTECCION DE ACTIVOS DE INFORMACION

“Es deber de todos los trabajadores de Petróleos de Venezuela, S.A. asegurar que toda

la información propiedad de la empresa o cedida a ella sea protegida en forma consona

con su clasificación, valor que representa y su potencial de perdida por hurto,

apropiación indebida, destrucción, manipulación y/o divulgación no autorizada”.

PAIPAIPROTECCION DE ACTIVOS DE INFORMACIONPROTECCION DE ACTIVOS DE INFORMACION

“Es deber de todos los trabajadores de Petróleos de Venezuela, S.A. asegurar que toda

la información propiedad de la empresa o cedida a ella sea protegida en forma consona

con su clasificación, valor que representa y su potencial de perdida por hurto,

apropiación indebida, destrucción, manipulación y/o divulgación no autorizada”.

PSI-010101: Declaración de PSI-010101: Declaración de Seguridad:Seguridad:

Los Activo de Información de la Corporación deberán estar debidamente protegidos contra acciones o eventos que perjudiquen los principios y estándares establecidos de seguridad de Información.

ORALORALIMPRESAIMPRESA

ELECTRÓNICAELECTRÓNICA

VISUALVISUALActivos de

Información

Según su Confidencialidad:Según su Confidencialidad:

Según su Criticidad:Según su Criticidad:

Uso Estrictamente ConfidencialUso Estrictamente Confidencial

Uso ConfidencialUso Confidencial

Uso GeneralUso General

VitalVital

No VitalNo Vital

Clasificación de Activos de Información

PSI-020105: Tratamiento y Resguardo de los Activos de Información:

Todo Activo de Información deberá ser protegido, custodiado y resguardado de conformidad con los niveles de Clasificación que le fueron asignados, utilizando para ello los métodos o técnicas de seguridad aprobados por la Corporación.

PSI-020105: Tratamiento y Resguardo de los Activos de Información:

Todo Activo de Información deberá ser protegido, custodiado y resguardado de conformidad con los niveles de Clasificación que le fueron asignados, utilizando para ello los métodos o técnicas de seguridad aprobados por la Corporación.

Los Activos de Información se clasifican en:

Los Activos de Información se clasifican en:

La Rotulación para Información Electrónica debe realizarse de la siguiente manera:

Rotular cada diapositiva de la información presentada por pantalla, de manera que cuando sea proyectada y/o copiada se diferencie el nivel de clasificación. Los dispositivos de almacenamiento electrónico que contengan información clasificada, deberán llevar en un lugar visible una etiqueta indicativa del tipo de clasificación otorgada.

La Rotulación para Información Electrónica debe realizarse de la siguiente manera:

Rotular cada diapositiva de la información presentada por pantalla, de manera que cuando sea proyectada y/o copiada se diferencie el nivel de clasificación. Los dispositivos de almacenamiento electrónico que contengan información clasificada, deberán llevar en un lugar visible una etiqueta indicativa del tipo de clasificación otorgada.

ROTULACIÓN PARA INFORMACIÓN ELECTRÓNICA

PSI-020103: Rotular Activos de Información:

Todo Activo de Información de la Corporación deberá ser rotulado de manera que todos los usuarios puedan tener conocimiento acerca de la propiedad, clasificación y valor de dicha información.

PSI-020103: Rotular Activos de Información:

Todo Activo de Información de la Corporación deberá ser rotulado de manera que todos los usuarios puedan tener conocimiento acerca de la propiedad, clasificación y valor de dicha información.

PSI-040701: Administración de Documentos:

Todo documento perteneciente a la Corporación deberá ser administrado por personal autorizado debida y formalmente por el Gerente Propietario, en concordancia con la gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Clasificación de Activos de Información.

PSI-040701: Administración de Documentos:

Todo documento perteneciente a la Corporación deberá ser administrado por personal autorizado debida y formalmente por el Gerente Propietario, en concordancia con la gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Clasificación de Activos de Información.

Manejo de la Información

PSI-040501: Suministro de Información a los Medios de Comunicación:

Solo personal autorizado debidamente y formalmente por la Gerencia Responsable de la Imagen Corporativa podrá suministrar información en nombre de la Corporación, en cualquiera de sus formas, a los medios de comunicación social.

PSI-040501: Suministro de Información a los Medios de Comunicación:

Solo personal autorizado debidamente y formalmente por la Gerencia Responsable de la Imagen Corporativa podrá suministrar información en nombre de la Corporación, en cualquiera de sus formas, a los medios de comunicación social.

La destrucción, modificación, divulgación

de la información de carácter confidencial o

estrictamente confidencial, en forma intencional o no, sin la autorización escrita del gerente propietario y/o propietario delegado, así

como la apropiación indebida de dicha

información

Será consideradas como faltas:

El acceso no autorizado o indebido a la información. 

El envío a través del correo electrónico, de cadenas de

notas y otras informaciones o archivos no asociados a los

procesos de trabajo.

El uso indebido de archivos de música, videos, pornografía, juegos, proselitismo político, entre otros.

El uso de Internet para la conexión a páginas WEB

relacionada con Chat, música, pornografía, farándula u otras que degraden el servicio de esta herramienta y atenten contra los valores éticos y

morales de la corporación.

Se podrán aplicar a los infractores las medidas que el caso amerite, incluyendo la terminación del contrato por causa justificada, según lo dispuesto en el artículo 102 de la Ley Orgánica del Trabajo, o de acciones penales, de acuerdo a lo establecido en el artículo 63 de la Ley Orgánica de Salvaguarda del Patrimonio Público.

Fundamentos Legales

PSI-010103: Responsabilidades Legales en Materia de Seguridad:

La Corporación, en defensa de sus Activos de Información, procederá de acuerdo al Ordenamiento Jurídico y a los Tratados Internacionales de la República. En virtud de lo cual, ante la presencia de un evento o incidente que pudiera afectar la Seguridad de los Activos de Información, de su propiedad o bajo su custodia, iniciará, a través de la Gerencia Corporativa de Prevención y Control de Pérdidas (PCP), las investigaciones respectivas y, en caso de evidenciarse un supuesto delito, contactará, previa opinión de la organización jurídica de la Corporación, a los organismos competentes del Estado para que éstos efectúen las actuaciones correspondientes en aplicación de las disposiciones legales que regulan la materia.

PSI-010103: Responsabilidades Legales en Materia de Seguridad:

La Corporación, en defensa de sus Activos de Información, procederá de acuerdo al Ordenamiento Jurídico y a los Tratados Internacionales de la República. En virtud de lo cual, ante la presencia de un evento o incidente que pudiera afectar la Seguridad de los Activos de Información, de su propiedad o bajo su custodia, iniciará, a través de la Gerencia Corporativa de Prevención y Control de Pérdidas (PCP), las investigaciones respectivas y, en caso de evidenciarse un supuesto delito, contactará, previa opinión de la organización jurídica de la Corporación, a los organismos competentes del Estado para que éstos efectúen las actuaciones correspondientes en aplicación de las disposiciones legales que regulan la materia.

Debe incluirse en los contratos de asociaciones estratégicas,

Empresas mixtas y servicios en

general, cláusulas de cláusulas de confidencialidadconfidencialidad, que

especifiquen la responsabilidad de las mismas en el resguardo de los Activos de Información de la

Corporación.

PSI-040804: Intercambio de Información con Terceros y/o Relacionados:

Toda información perteneciente ala Corporación que sea intercambiada con terceros y/o relacionados , deberá ser autorizada debida y formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Clasificación de Activos de Información.

PSI-040804: Intercambio de Información con Terceros y/o Relacionados:

Toda información perteneciente ala Corporación que sea intercambiada con terceros y/o relacionados , deberá ser autorizada debida y formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Clasificación de Activos de Información.

Fundamentos Legales

Muchas de las páginas en Internet contienen códigos maliciosos o virus que pudieran afectar a la Plataforma Tecnológica de la Corporación.

Algunos Sitios Web no proveen valor agregado para el negocio.

Lineamiento: Uso controlado del InternetLineamiento: Uso controlado del Internet

Si necesita acceder a un Sitio Web, el cual se encuentra bloqueado, debe ser debidamente justificado y solicitado por el Gerente de 1era. o 2da. Línea, al Centro de Servicio AIT (105).

Un equipo no controlado en la Plataforma Tecnológica, podría causar:

Ataques.

Inyección de Virus y gusano.

Lineamiento: Restricción de acceso de Equipo Lineamiento: Restricción de acceso de Equipo

Portátil que no pertenecen a PDVSAPortátil que no pertenecen a PDVSA

Aquellos Terceros que requieran hacer presentaciones o actualizaciones de aplicaciones en la Corporación, deberán traerlas copiadas en CD o DVD.

PDVNetPDVNet

No No

PDVSAPDVSAPDVSAPDVSAPDVSAPDVSA

PDVSAPDVSA

PDVSAPDVSA

Etiqueta de Identificación como Activo de PDVSA.

Portar el pase de asignación del equipo.

Asegúrese de que su Equipo Portátil asignado, tenga:

Lineamiento: Identificación de Activos Portátiles de PDVSALineamiento: Identificación de Activos Portátiles de PDVSA

Lineamiento: Depuración de Cuentas de Red/CorreoLineamiento: Depuración de Cuentas de Red/Correo

Condiciones:

Usuarios que no posean el carnet de acceso vigente.

Cuentas de Red que no hayan sido utilizadas por más de tres (3) meses.

Para habilitar la Cuenta de Red/Correo deberán llenar y enviar el formato de Solicitud de Activación de Cuenta de Red/Correo, al Centro de Centro de Servicio AIT (105).

Prohibido el Uso de Cuentas PoolProhibido el Uso de Cuentas PoolPDVNetPDVNet

Aspectos resaltantes en Seguridad de InformaciónAspectos resaltantes en Seguridad de Información

Debe crear contraseñas fuertes, haciendo uso de letras mayúsculas y minúsculas, números y alguno que otro carácter especial, de forma combinada para evitar que sea fácil de adivinar.

Se considera medida básica de protección cambiar periódicamente su contraseña.

Una vez que haya creado su contraseña no debe escribirlo en ningún lugar.

Sabia Usted

que…

Al ausentarse de su oficina debe asegurarse de bloquear su computador y cerrar la puerta.

Tips de SeguridadTips de Seguridad

El correo de la Corporación sólo debe ser usando para fines de negocio.

Cuando tenga personas extrañas en su oficina no debe ausentarse de ella.

El uso indebido de archivos de música, videos, pornografía, juegos, proselitismo político, entre otros.

Sabia Usted

que…

Tips de SeguridadTips de Seguridad

¿Cómo Proteger su Equipo portátil?

Utilice la guaya de seguridad que acompaña al computador portátil de manera adecuada, en un lugar donde no sea fácil violar la seguridad física de su Laptop.

Evite tener cerca de su laptop envases con agua o jugos, ya que, al momento de algún incidente o al derramarse el líquido cerca de su computador podría causarle daños.

Tips de SeguridadTips de Seguridad

¿Cómo Proteger su Equipo portátil?

Evite que sea evidente que usted es portador de una laptop, para así prevenir cualquier robo fuera de la Corporación.

Lleve en todo momento consigo el permiso de entrada y salida de su laptop, para evitar algún inconveniente.

Tips de SeguridadTips de Seguridad

Seguridad AITSeguridad AIT

VisiónVisión

Ser la organización de referencia nacional en

Seguridad de la Información con

tecnología endógena, que resguarde la confidencialidad,

integridad y disponibilidad de los

activos de información de PDVSA, sus

empresas filiales y demás entes del

Estado.

VisiónVisión

Ser la organización de referencia nacional en

Seguridad de la Información con

tecnología endógena, que resguarde la confidencialidad,

integridad y disponibilidad de los

activos de información de PDVSA, sus

empresas filiales y demás entes del

Estado.

MisiónMisión

Diseñar, operar y evaluar soluciones y

mecanismos de seguridad que

permitan resguardar la confidencialidad,

integridad y disponibilidad de los

activos de información de la Plataforma

Tecnológica de PDVSA, contra amenazas

internas y externas, a fin de contribuir con la

continuidad de sus operaciones.

MisiónMisión

Diseñar, operar y evaluar soluciones y

mecanismos de seguridad que

permitan resguardar la confidencialidad,

integridad y disponibilidad de los

activos de información de la Plataforma

Tecnológica de PDVSA, contra amenazas

internas y externas, a fin de contribuir con la

continuidad de sus operaciones.

Origen Origen

Gestión Preventiva de SeguridadGestión Preventiva de SeguridadGestión Preventiva de SeguridadGestión Preventiva de Seguridad

Subprocesos Subprocesos

Diseño de la Arquitectura de Seguridad

InternetInternet

ServiciosServicios

IntranetIntranet

ExtranetExtranetServidoresServidores

InternetInternet

ExtranetExtranetWebWeb

Nombre DispositivoDir. IP

Nombre DispositivoDir. IP

Dir. IP 1Dir. IP 2

Nombre Dispositivo

Dir. IP 3

Nombre Dispositivo

Dir. IP 1

Dir. IP 2

Dir. IP 3

DNSDNS WebWeb CacheCache

ProxyProxy

PostFitPostFit

Monitor de Monitor de SeguridadSeguridad

Red Red TelefónicaTelefónica

RAS/ VPNRAS/ VPN

Consultoría de Seguridad

Políticas de Seguridad de Información

(PSI)

Educación en materia de Seguridad

Evaluación, Respuesta y ContingenciaEvaluación, Respuesta y ContingenciaEvaluación, Respuesta y ContingenciaEvaluación, Respuesta y Contingencia

Evaluación de Seguridad

Análisis de Riesgo Lógico

Subprocesos Subprocesos

Protección LógicaProtección LógicaProtección LógicaProtección Lógica

Gestión de la plataforma de Seguridad

Control de Acceso Lógico Tratamiento de Incidentes

Subprocesos Subprocesos

SEGURIDADAITCRP@PDVSA.COMSEGURIDADAITCRP@PDVSA.COM

http://intranet.pdvsa.com/pdvsa/seguridad/home.html

Centro de Servicios AIT: 105Centro de Servicios AIT: 105

Centro de Control PCP: 71042 - 71055Centro de Control PCP: 71042 - 71055

Información de ContactoInformación de Contacto

PreguntasPreguntas

Muchas Gracias por su AtenciónMuchas Gracias por su Atención